0
0
Embora normalmente visto como uma medida final, 90% dos participantes de uma pesquisa da BigID revelaram que sua empresa consideraria pagar um resgate se isso significasse que eles poderiam recuperar dados e processos de negócios ou recuperá-los mais rapidamente.
Nesta entrevista da Help Net Security, Azeem Aleem, MD do Reino Unido e Norte da Europa na Sygnia , desvenda as complexidades da negociação de ransomware e destaca as medidas que as organizações podem tomar para se protegerem contra ameaças cibernéticas.
Você pode nos guiar por um processo típico de negociação de ransomware? Que tipos de estratégias os profissionais usam para negociar um resgate mais baixo?
Se sua empresa estiver sob ataque, o agente da ameaça pode usá-lo como uma oportunidade para ‘alimentar por gotejamento’, extorsões, prometendo liberar dados em uma abordagem escalonada para garantir que eles aproveitem ao máximo seu ataque. Como resultado, a empresa pode acabar em um ciclo perpétuo de resgate com o agente da ameaça. É aqui que somos chamados para investigar e proteger contra os principais ransomwares , espionagem corporativa, roubo financeiro e até mesmo campanhas de estado-nação.
Nós sempre erramos do lado da prevenção . Precisamos acompanhar os agentes de ameaças e isso significa investir e contar com a ajuda de especialistas em segurança terceirizados que podem revisar sua pilha de segurança desde o início e ver o que você pode não estar vendo. Enfrentar o cibercrime requer uma variedade de habilidades, incluindo uma mentalidade preditiva e adaptável e perspectivas microscópicas e de helicóptero para realmente “ver” a ameaça.
Antes de se envolver com agentes de ameaças – recrute as habilidades certas para o trabalho . Escolhemos a dedo a nata da colheita em talentos das fileiras de unidades de tecnologia militar de elite e da indústria cibernética, como ex-oficiais de inteligência militar, psicólogos criminais, negociadores de hackers que viraram reféns e muito mais. É uma equipe incrivelmente única com habilidades aprimoradas em supremacia tecnológica, combate digital, análise de dados e negócios, para fornecer segurança de nível militar às organizações.
Esteja ciente de que você tem mais a perder – Você precisa estar disposto a negociar e isso significa “jogar o jogo” para obter o melhor resultado possível . Sucesso significa pagar pouco ou nenhum dinheiro enquanto protege os dados roubados. Nossos especialistas em negociação de ameaças cibernéticas encontrarão as fontes de vulnerabilidades e usarão táticas para atrasar o resgate enquanto extraem informações críticas para que sua equipe de investigação mapeie os comportamentos específicos do agente da ameaça. Por exemplo, nossos negociadores podem assumir uma persona específica para construir empatia e confiança, criando um sentimento de amizade que ajuda a abrir a comunicação para um melhor negócio.
Evite a extorsão dupla e tripla encontrando as fontes de vulnerabilidade . A equipe de negociação trabalhará para descobrir os motivos do invasor, investigar a origem, conter a ameaça, minimizar o tempo de exposição à violação (BET) e, em seguida, ajudar a remediar e recuperar como forma de quebrar o ciclo de ameaças. Os negociadores ajudarão a encontrar o ‘Cisne Negro’ que pode ajudar a equipe técnica a revelar as incógnitas.
Compreendendo as ferramentas, táticas e procedimentos (TTPs) que o invasor está usando, podemos determinar o nível de sofisticação do ataque. Às vezes, o invasor nem suas ferramentas são tão sofisticadas, mas encontraram uma vulnerabilidade desconhecida da qual podem continuar a abusar.
Quais são as vantagens de trabalhar com um serviço de negociação de ransomware em vez de lidar com negociações internamente dentro de uma organização?
Uma equipe terceirizada de resposta a incidentes altamente qualificada pode oferecer às empresas uma infinidade de conhecimentos sob o mesmo teto que podem faltar nas equipes de segurança internas tradicionais. Por exemplo, na Sygnia, escolhemos a nata da colheita em talentos de unidades de tecnologia militar de elite e da indústria cibernética, como ex-oficiais de inteligência militar, psicólogos criminais, negociadores de hackers que viraram reféns e muito mais. É uma equipe incrivelmente única com habilidades aprimoradas em supremacia tecnológica, combate digital, análise de dados e negócios, para fornecer segurança de nível militar às organizações – na verdade, uma que as nações procuram silenciosamente para obter ajuda.
Os negociadores podem atrasar a resposta de uma empresa a um pedido de resgate. Quais benefícios esse atraso oferece e como isso pode afetar o resultado de um ataque de ransomware?
Os agentes de ameaças agora são grandes empresas com equipes de RH, folha de pagamento e vendas. Eles prosperam na infâmia e precisam proteger sua reputação tanto quanto confiam em garantir o resgate. Infelizmente, em alguns casos, pagar o resgate é inevitável devido à natureza do próprio ataque. Por exemplo, um ataque à infraestrutura industrial onde não há apenas um impacto cibernético, mas físico em vidas.
Um relatório recente destacou como as empresas pagaram US$ 449,1 milhões em resgate nos primeiros seis meses deste ano. A negociação tátil ajudará a descobrir as incógnitas do invasor, encontrar maneiras de apaziguá-lo e reduzir o resgate total – em alguns casos, potencialmente dissuadindo ataques futuros. Estamos essencialmente ganhando tempo para conter a ameaça, recuperar dados e corrigir quaisquer falhas de segurança.
O que as organizações devem fazer imediatamente após um ataque de ransomware para se posicionar melhor para negociações bem-sucedidas?
- Configure um canal off-line seguro – Essencialmente uma sala de guerra para simplificar a comunicação estratégica da equipe. Os ataques cibernéticos não são mais uma preocupação de TI e devem ser levados ao conselho, especialmente porque o CEO pode se encontrar se as docas se as etapas regulatórias forem perdidas.
- Mantenha a calma para evitar reações instintivas. O medo pode fazer você entrar em pânico e atrapalhar seu julgamento. Você pode tentar responder aos agentes da ameaça, direcionando-os para uma ‘marca’ bem-sucedida.
- Recrute especialistas externos em resposta à incidência para investigar, avaliar e mapear a crise. Não se envolva com o agente da ameaça sozinho.
- Aplique segmentação de rede e separe o ambiente de backup da rede.
- Desconecte os funcionários do e-mail e do servidor para evitar a propagação do ataque. Muitos ataques à cadeia de suprimentos poderiam ter sido reduzidos em escala dessa maneira.
- Avalie seu ambiente para entender a origem do ataque.
- Aborde a correção e a erradicação de backdoor com cautela. Essas atividades de mitigação podem alertar o agente da ameaça de que alguém está atrás dele. Certifique-se de que o processo que você está realizando seja abrangente e apoie a correção com esforços de monitoramento personalizados para evitar mais riscos e detectar quaisquer backdoors que possam ter passado despercebidos.
Você pode compartilhar alguns exemplos de como as organizações usaram com sucesso os serviços de negociação de ransomware para mitigar o impacto dos ataques de ransomware?
Nossos serviços de negociação de ransomware limitam os danos a uma empresa, criam tempo para que possamos descobrir a ameaça e, finalmente, reduzir quaisquer resgates, em uma velocidade acelerada. Nossas investigações nos oferecem uma vantagem que pode deter o agente da ameaça, minimizar o resgate ou o melhor resultado – não pagar nada.
Estamos vendo mais ataques OT, onde, em alguns casos, tanto o mundo virtual quanto o físico podem ser afetados e, portanto, é necessário pagar um resgate. Por exemplo, a Sygnia trabalhou com uma conhecida empresa de manufatura global, que fazia parte de um grupo maior de fabricantes e tinha vários ambientes de produção OT. A empresa havia sofrido um ataque do grupo PYSA ou Mespinoza Ransomware, onde criptografaram os serviços de chão de fábrica, levando à interrupção das operações da fábrica e da entrega ao cliente. Para uma empresa desse porte, qualquer interrupção nas operações diárias pode custar cerca de US$ 1,5 a US$ 2 milhões.
A empresa não podia continuar operando com tais perdas e, portanto, a Sygnia foi contratada para investigar e conter a ameaça enquanto recuperava e negociava com os agentes da ameaça, em paralelo com os fluxos de trabalho existentes. Nossa equipe de especialistas em negociação encontrou maneiras de criar confiança e empatia com o agente da ameaça, obtendo uma compreensão mais profunda da origem do ataque para ajudar nossa equipe de contenção a garantir que o alvo era o domínio certo.
Depois de descobrir o ponto de entrada do ataque e encontrar os vetores de movimento lateral, conseguimos rastrear a origem do ataque até uma empresa irmã dentro do grupo. Vemos isso repetidas vezes em ataques à cadeia de suprimentos , em que empresas externas compartilham sistemas entre si para obter eficiência, mas, sem o conhecimento delas, também fornecem maneiras para que os agentes de ameaças explorem e espalhem seus ataques como um incêndio.
A Sygnia apresentou nossas descobertas e compartilhou os dados exfiltrados com ambas as equipes jurídicas para análise. Nesse cenário, conseguimos recuperar o ambiente de nossa ‘ilha segura’ e, portanto, não tivemos que pagar o resgate. Também corrigimos as vulnerabilidades para evitar a recorrência do ataque e ajudar o fabricante a retornar às operações completas da fábrica dentro de duas semanas após o comprometimento inicial.
Você poderia explicar como os serviços de negociação de ransomware colaboram com as agências de aplicação da lei e como essa colaboração pode beneficiar as organizações de vítimas?
Em vários casos, a equipe de negociação da Sygnia trabalhou extensivamente com agências de aplicação da lei. Isso é principalmente para entender a extensão do domínio do ataque, refinar o TTPS do grupo adversário e recuperar o tempo crítico para agilizar o processo de contenção.
FONTE: HELP NET SECURITY